Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 5985 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spam/Virus problem, 45000 emails in spool

johnyGr
Hello,
   We have ASG220 as firewall and smtp proxy, in our internal network i have Exchange2003 as email server and ~100 computers and they use exchange every day. 
  Few days ago i found huge cpu load on ASG and it was because of 20000 emails in spool(waiting for delivery). Webadmin is almost dead, connected to asg with ssh and opened one mail, discovered that all emails where sent from one pc from internal network, as you can imagine it was some spam virus/worm, disconnected that pc, cleaned, but DIDNT connet it back to network. Then i deleted all messages from astaro spool using ssh and all was ok for 1 day. My ASG smtp proxy config was almost fine, it have all anti spam features enabled, scan outgoing msg enabled,transparent mode, but mistake was with host based relay - allow relay from all internal network, I changed it to allow relay only from Exchange server, i hope it was right. 
 Today had huge load on ASG again, looks like same situation, emails waiting for delivery is growing and now have 45000 emails in spool, cheked from which ip, strange but its same internal ip of computer which is disconnected from network, how this can happen? How computer which is offline, can submit emails to astaro ? Cheked few times, but this internal ip is off. Maybe all these spam messages was submited few days ago and now its some sort of retry ? What to do in this situation ? I am trying to delete these emails using mail manager, but its really hard, disabled smtp proxy, but that not helps, spool is growing anyway...What to do in this situation ? Sorry for my english, i will accept any help.

Best Regards
J.


This thread was automatically locked due to age.
  • 0
    You should probably open a support case with your reseller.
    Or, if you have platinum support, at my.astaro.com

    Barry
  • 0 in reply to BarryG
    Can you confirm you don't have another infected PC?  Yes, you did the right thing in having Exchange be the only device allowed to relay off the Astaro SMTP proxy.

    My guess is that you have 45000 emails queued on your Exchange server.  Sooner or later, it will give up on resending them, but you need to get them deleted from there.

    You didn't say what the emails were.  From your domain to another domain?  Non-delivery messages?

    Good luck! - Bob
    PS In addition to having Astaro at the perimeter, we recommend that every client have anti-virus.  For larger organizations, we recommend specialized anti-virus for each server; Oracle, Exchange, etc.  In this way, you have three layers of protection, so an error on one layer is caught by another.  You had an error in allowing 'Internal (Network)' to relay off the Astaro, but that would not have been a problem if the client PC had been protected by A-V.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Can you confirm you don't have another infected PC?  Yes, you did the right thing in having Exchange be the only device allowed to relay off the Astaro SMTP proxy.

    My guess is that you have 45000 emails queued on your Exchange server.  Sooner or later, it will give up on resending them, but you need to get them deleted from there.

    You didn't say what the emails were.  From your domain to another domain?  Non-delivery messages?

    Good luck! - Bob
    PS In addition to having Astaro at the perimeter, we recommend that every client have anti-virus.  For larger organizations, we recommend specialized anti-virus for each server; Oracle, Exchange, etc.  In this way, you have three layers of protection, so an error on one layer is caught by another.  You had an error in allowing 'Internal (Network)' to relay off the Astaro, but that would not have been a problem if the client PC had been protected by A-V.


    Thanks for replay,
     Exchange is clear, no queues here. I think virus installed own smtp on infeted pc, so there wasn't exchange influence. Actually every pc and server have updated antivirus(Norman), but it didn't detected this virus, i am waiting till end of this antivirus license, then i will change to other product. That user had local administrator rights, in this case Norman can't protect...
     Yes, i can confirm no other infected pc's, no strange network traffic from other pc's and every email was sent from that one internal ip, so i think other pc's should be clear.
      Now in queue are mostly 2 types of emails, spam and mailer-daemons or non-delivery messages.

    Spam email header: (all emails have same from and sender adress)

    Received: from infectedpc.hostname.local ([192.168.0.139]:4013 helo=my.astaro.hostname) by my.astaro.hostname with esmtp (Exim 4.69) (envelope-from ) id 1LyfpM-00064x-0W for atjcfmnw@itscomp.com; Tue, 28 Apr 2009 08:25:56 +0300 X-Mailer: QUALCOMM Windows Eudora Version 7.1.0.9 Date: Tue, 28 Apr 2009 08:25:56 +0300 To: atjcfmnw@itscomp.com From: Man Sophy  Subject: Invoice Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="=====================_28474489==.ALT" 

    Daemon example:
    Received: from exim by my.astaro.hostname with local (Exim 4.69) id 1LyrzH-0002yz-38 for frank.collins@acc.af.mil; Tue, 28 Apr 2009 21:25:29 +0300 X-Failed-Recipients: frank.collins@acc.af.mil Auto-Submitted: auto-replied From: Mail Delivery System  To: frank.collins@acc.af.mil Subject: my.astaro.hostname Mail delivery failed : returning message to sender Message-Id:  Date: Tue, 28 Apr 2009 21:24:59 +0300 

      I think most spam messages are in some sort of retry state, because infected box cant submit new emails. Dont know what to do now...
      To open Mail Manager i need to wait 5 min and strange thing is - global cleanup action - delete everything - do not work, could be because of huge cpu load, even when i disable smtp proxy.
  • 0 in reply to johnyGr
    If you only have 512MB on that ASG220, you will need to take drastic action.  Wait until after hours, then, noting which items you do this to, disable the External interface and all of the subsystems: HTTP, IPS, SMTP, etc. - anything that uses memory that you can unload.  Now try using global cleanup - It probably will still take several hours.

    If that doesn't seem to be working, then you'll need to get several unencrypted backups that you can load onto a USB memory stick.  Copy off any log files you need to save, print off any monthly or annual reports you need and force deliverry of anything in the quarantine that might not be spam.  Once you're convinced you have saved or moved anything you need, do a factory reset, and then reboot the ASG with a USB memory stick with your most-recent backup.

    Good luck - Bob
    PS It's likely that the person who did this was using their computer for things unrelated to the business, so I hope there's some consequence and that the head of the company sends out a security policy reminder.  I'm sure you can find a "standard" document for him to use.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi , I have exactly the same problem, but it was my mistake because i had "Any" on Host based Relay, for testing purposes and i forgot to take it out. Now i have disabled the smtp proxy and port forward smtp to exchange Server directly.
    Can u provide me the steps to clean up the spool via ssh? or a link with detailed instructions? Because i am not a Linux expert.

    Plus i can see that the spam mails still growing in the spool. Is there a permanent solution to this? Otherwise mail proxy is useless.
    Cheers

    Stelios
  • 0 in reply to schatz
    Hi , I have exactly the same problem, but it was my mistake because i had "Any" on Host based Relay, for testing purposes and i forgot to take it out. Now i have disabled the smtp proxy and port forward smtp to exchange Server directly.
    Can u provide me the steps to clean up the spool via ssh? or a link with detailed instructions? Because i am not a Linux expert.

    Plus i can see that the spam mails still growing in the spool. Is there a permanent solution to this? Otherwise mail proxy is useless.
    Cheers

    Stelios


     Today i send email to local support, they will resend it to Astaro support, i hope they could help.
    First time i deleted emails from ssh, but it was slow anyway...I am not nix expert too, but i think emails where in this folder cd var/chroot-smtp/spool/output/1/
    Then input and msglog, you can delete with rm -f command...
  • 0 in reply to schatz
    Schatz, try the factory reset as suggested above.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Schatz, try the factory reset as suggested above.


    yestrday, astaro support connected to my box and fixed it. Dont know what exactly they did, but as i understand, they deleted work-queue and daemons, where mails where coming from.

    Big thanks to them.
Cookie Information Banner